Anteriormente, vimos cómo los piratas informáticos pasan mucho tiempo explorando sitios web que desean atacar, creando una imagen detallada de sus objetivos utilizando la información que se encuentra en los registros de DNS, así como en la web y desde el propio sitio..

Esta información ayuda a los piratas informáticos a conocer la estructura de hardware y software del sitio, sus capacidades, los sistemas de back-end y, en última instancia, sus vulnerabilidades. Puede ser revelador descubrir los detalles que un hacker puede ver sobre su sitio web y sus sistemas..

La forma en que funciona Internet significa que nada puede ser completamente invisible si también debe ser de acceso público, y cualquier cosa que sea de acceso público nunca puede ser realmente segura sin una gran inversión, pero todavía hay mucho que puede hacer..

Ahora vamos a examinar algunos de los pasos que puede tomar para asegurarse de que cualquier pirata informático que valga su pena se diera cuenta desde el principio de que su presencia en la web no es el objetivo fácil que asumieron que era, y para lograr que sigan adelante..

Eliminación de robot

Muchos desarrolladores dejan pistas no intencionales en cuanto a la estructura de sus sitios web en el propio servidor. Esto le dice al hacker mucho sobre su habilidad en la programación web, y despertará su curiosidad..

Muchas personas vuelcan los archivos a la estructura de directorios públicos de su servidor web y simplemente agregan los archivos y directorios ofensivos al archivo 'robots.txt' del sitio.

Este archivo le indica al software de indexación asociado con los motores de búsqueda qué archivos y directorios debe ignorar y, por lo tanto, dejar fuera de sus bases de datos. Sin embargo, por su naturaleza, este archivo debe ser legible globalmente, y eso incluye a los hackers..

No todos los motores de búsqueda obedecen al archivo 'robots.txt', tampoco. Si pueden ver un archivo, lo indexan, independientemente de los deseos del propietario..

DADO POR GOOGLE: Los archivos 'Robots.txt' son muy fáciles de encontrar utilizando una consulta de Google

Para evitar que la información sobre archivos privados caiga en las manos equivocadas, si no hay una buena razón para que un archivo o directorio esté en el servidor, no debería estar allí en primer lugar..

Elimínelo del servidor y del archivo 'robots.txt'. Nunca tenga nada en su servidor que no esté contento de dejar abierto al escrutinio público.

Deja pistas falsas

Sin embargo, 'robots.txt' también hará pensar a los piratas informáticos si lo usa para exponer aparentemente algunos directorios falsos e informarles sobre sistemas de seguridad que no existen.

Agregar una entrada para un sistema de detección de intrusos, como 'snort_data' por ejemplo, contará una historia falsa sobre las capacidades de seguridad de su sitio. Otros nombres de directorio enviarán a los piratas informáticos a una caza de ganso salvaje en busca de software que no esté instalado.

Si su sitio web requiere que los usuarios inicien sesión en cuentas, asegúrese de confirmar sus registros respondiendo a un correo electrónico enviado a una cuenta de correo electrónico nominada.

La forma más efectiva de prevenir un ataque de fuerza bruta contra estas cuentas es imponer una política de 'tres ataques y está fuera' al iniciar sesión. Si un usuario ingresa una contraseña incorrecta tres veces, debe solicitar una nueva contraseña (o un recordatorio de su cuenta actual), que se enviará a la cuenta de correo electrónico que utilizaron para confirmar su membresía.

Si una política de tres ataques es demasiado draconiana para su gusto, o si cree que puede provocar ataques de denegación de servicio contra usuarios individuales por parte de otros que intentan acceder a sus cuentas con tres contraseñas malas, entonces es una buena idea reducir la velocidad. no enviar al usuario inmediatamente a la página de inicio de sesión.

Después de un cierto número de intentos fallidos, puede tomar una muestra de la hora y no permitir otro intento de inicio de sesión hasta que haya pasado un cierto número de minutos. Esto hará que un ataque de fuerza bruta sea muy lento, si no es prácticamente imposible de montar.